32步WordPress网站安全终极检查清单:第1~5步

分享本文:
security-checklist-step-1-5
32步WordPress网站安全终极检查清单:第1~5步
5 分, 共 1

网站安全,是许多WordPress新手容易忽略的一个重要问题。如何确保WordPress网站安全,也是许多刚刚接触WordPress的用户面临的一个难题。WordPress中文网本系列教程教你介绍一系列的步骤,来保护你WordPress网站的安全。这一些列步骤共分32步,今天介绍第1~5步。

全文目录

32步WordPress网站安全终极检查清单 – 目录

1. 保持使用最新版本的WordPress

总是有许多WordPress用户禁止WordPress内核程序自动更新功能,因为他们担心“升级可能会出现插件不兼容问题”。

这是非常错误的想法。

我们对比一下,一面是有漏洞可能会被黑的网站,一面是临时插件不兼容的网站,你觉得哪一个问题更严重?

插件偶尔会出现不兼容WordPress最新版本的情况,但往往指示很短的一段时间。而网站一旦被黑,则是比较严重的问题。每次WordPress内核更新,都会修复许多新近发现的漏洞。如果你的WordPress内核程序没有更新,那么你的网站就可能因为这些漏洞而受到攻击。

wordpress-core-update

WordPress默认允许小版本号的自动更新,但不允许主版本号的自动更新。比如说,如果你现在安装的是WordPress 4.6,那么在WordPress 4.6.1发布之后,你的网站将会被自动更新到4.6.1。如果将来发布了WordPress 4.7,你的网站不会自动更新到此版本,需要你在后台点击按钮进行手动升级。

当然,你可以自己在配置文件wp-config.php中进行设置。把下面这行代码放到wp-config.php文件的适当位置:

define( 'WP_AUTO_UPDATE_CORE', true );

这句代码定义了是否允许WP内核代码升级的状态。在这里有三种状态:

  • true:允许主版本、小版本、开发版本的自动更新;
  • false:禁止主版本、小版本、开发版本的自动更新;
  • minor:允许小版本的自动更新,但不允许主版本和开发版本的自动更新。

系统默认参数为minor,你也可以将其修改为 true 或者 false 。

2. 不要修改WordPress的内核代码

一旦你自己或者你的程序员编辑了WordPress的内核代码,那么你就不能再使用WordPress的自动升级功能来更新到最新版本了。因为自动更新之后,你对WordPress内核代码所做的编辑,都会全部丢失。

这样的话,一旦发现WordPress有新漏洞,而你的网站又不能进行及时升级,那么你的网站就有危险。你就必须手动来修复这些漏洞,但是这样将会耗时耗力;但不进行修复的话,网站又存在风险。

那么,当你想要修改WordPress功能的时候怎么办呢?答案很简单:写一个插件,自己网站专用的插件。插件可以让你无需改动WordPress内核代码就可以实现你想要的功能。

同样,这样的逻辑也适用于你的插件和主题。当你想对插件和主题进行适当微调之后,你也将面临无法更新到最新版本的问题。而不更新的话,网站又不安全。

对于插件和主题,都有相应的解决方案,可以让你无需修改插件和主题代码就可以完成所需要的功能。如果你的开发者建议你直接修改插件和主题的代码,那么建议你立即换一个开发者。

3. 确保所有插件更新到最新版本

和WordPress内核部分一样,第三方开发的WordPress插件(及主题)也可能会存在漏洞。我们在2016年第1季度的WordPress安全趋势报告一文中专门介绍过,热门插件中存在的漏洞,是很多WordPress网站被黑的重要原因。

我们无意在本文中重新列出这些插件的名字。漏洞,是大多数软件都无法避免的问题。但是,如何处理软件漏洞暴露出来的问题,可以看出公司维护人员的水平。

很多时候,只要一发现问题,插件的开发者就会立即修复并发布更新版本。

然后,你的责任就是要立即将插件更新到最新版本,否则,你的网站就可能会被黑客攻击。

不管你是手动升级,还是自动升级,都要记得保持插件更新。

wordpress-plugins-update

你可以设置自动从WordPress插件目录自动更新插件,只需要将以下代码放到你的WordPress主题的函数模板functions.php文件中中:

add_filter( 'auto_update_plugin', '__return_true' );

不过,这个语句仅对下载子WordPress.org官方插件目录的插件有效。下载自其他商业网站的插件,有自己的更新机制,也同样需要你保持更新。

4. 移除所有未启用的插件

随着你安装插件数目的增加,这些插件存在漏洞的可能性也就越大。

有时候,我们安装插件来测试它们的功能,然后忘记了移除这些插件。如果这些插件暴露出漏洞,那么你的网站可能就会成为攻击目标(尤其是如果没有升级到最新版本的话)。

即使这些插件没有激活,你的网站也可能被攻击。

要将风险降至最低,最安全的办法彻底删除不用的插件。要找到哪些插件没用很简单,只要这个插件没有启用(激活),就是没有使用的插件。

删掉这些插件。

同样,对于那些已经激活但是并没有用的插件,要一并删除。还有一点,要测试插件的话,别在你的生产网站中测试。你可以创建一个测试副本(在本地进行测试,或者其他的服务器上)。然后在测试版本的网站中来测试插件。

5. 确保所有主题更新到最新版本

及时升级到最新版本,不仅适用于WordPress内核程序和WordPress插件,也同样适用于WordPress主题。保护WordPress网站安全,就要把所有的主题都更新到最新版本。否则,任何已经修复的主题漏洞,仍将存在于你的网站之中。

你可能会想,你已经对主题做了个性化修改,做了许多调整,如果升级的话,这些改动都将会丢失。对于这个问题,正确的解决办法是,所有的主题微调,都应该通过子主题来设置,而不是直接修改原来的主题。这样,你可以直接升级WordPress主题到最新版本,而无需担心影响你的网站。

如果你想做的彻底一些,你还可以删除所有其他没有使用的主题。

同样,你可以设置从WordPress.org自动升级主题到最新版本。你只需要将以下代码放到所用主题的函数模板文件functions.php中:

add_filter( 'auto_update_theme', '__return_true' );

当然,这仅对下载自WordPress.org官方主题目录的主题有效。

其他商业主题有自己的更新升级机制,也同样需要你保持更新。

如果你不擅长编辑WordPress的wp-config.php文件及functions.php文件,你也可以安装Advanced Automatci Updates(高级自动更新)插件来进行设置。它可以设置以上各种设置。

(未完,待续…)

32步WordPress网站安全终极检查清单:第1~5步
5 分, 共 1
分享本文:


发表一下评论

电子邮件地址不会被公开。 必填项已用*标注